Transfer danych osobowych do USA od kilku lat spędza sen z powiek specjalistom od ochrony danych. Wyrok w sprawie Schrems II zatrząsł podstawami transatlantyckiego przesyłania danych, unieważniając w 2020 r. decyzję Komisji Europejskiej 2016/1250, a w konsekwencji także podważając unijno-amerykański program Privacy Shield (Tarcza Prywatności). UE i USA rozpoczęły wspólnie rozmowy nad uchwaleniem nowej decyzji o adekwatności, mającej zapewnić zgodność standardów ochrony danych osobowych w USA także w odniesieniu do tez wyroku Schrems II. Jak wygląda aktualnie transfer danych do USA i jakie zmiany przyniosą kolejne miesiące?   

Transfer danych do USA po wyroku Schrems II

RODO[1] zabrania co do zasady przesyłania danych poza obszar EOG, tj. poza kraje UE, Liechtenstein, Norwegię i Islandię. Wyjątkiem są sytuacje opisane w rozdz. V RODO wskazujące na istnienie decyzji stwierdzającej odpowiedni stopień ochrony w danym państwie lub zastosowanie przez podmioty zarządzające danymi środków uzupełniających jak standardowe klauzule ochrony/umowne (SCC).

W stosunkach UE-USA transfer opierano na decyzji Komisji (UE) 2016/1250 z 12.07.2016 r.[2], w ramach której podmioty z siedzibą w  USA biorące udział w dobrowolnym programie Privacy Shield korzystały – jako importerzy danych osobowych z EOG – z domniemania, że chronią dane zgodnie z europejskimi standardami nakreślonymi przez przepisy RODO. W szczytowym momencie z programu korzystało ponad 5300 podmiotów z siedzibą w USA[3]. Decyzja Komisji została unieważniona przez TSUE w wyroku z 16.07.2020 r. ws. Schrems II[4]. TSUE podkreślił iluzoryczność mechanizmów kontrolnych i środków odwoławczych służących europejskim podmiotom danych osobowych, jak również nadmiernie swobodny dostęp do danych amerykańskich organów państwowych.

Na skutek wyroku podmioty, które uczestniczyły w transferze danych do USA (nawet będące na liście podmiotów programu Privacy Shield), zostały zmuszone do przeprowadzenia ponownej oceny podstaw dokonywanych transferów poprzez m.in. porównanie praktyk i przepisów obowiązujących w USA do standardów europejskiej ochrony danych i podjęcia decyzji albo o zawieszeniu przekazywania danych lub o wdrożeniu dodatkowych adekwatnych zabezpieczeń.

„Nowe” standardowe klauzule umowne

Standardowe klauzule umowne stanowią uznane decyzją organu unijnego wzorcowe postanowienia stosowane w umowach regulujących przesyłanie danych poza EOG, które mają zapewniać odpowiedni poziom ochrony danych osobowych oraz podstawowych praw i wolności osób, których dane dotyczą. Wyrok ws. Schrems II, oprócz negatywnych skutków dla Privacy Shield, doprowadził także do uchylenia dotychczasowych standardowych klauzul umownych i podważył charakter prawny SCC. Oznacza to, że samo zastosowanie klauzul może się okazać niewystraczającym zabezpieczeniem transferu z uwagi na brak związania tymi klauzulami podmiotów publicznych i państwowych, jak np. amerykańskie agencje wywiadowcze. Z tego względu konieczna jest każdorazowa ocena przesyłania danych (tzw. Transfer Impact Assesment) pod kątem konieczności zastosowania dodatkowych zabezpieczeń. Przykładowe środki uzupełniające zabezpieczenia ochrony danych w takich przypadkach, jak klucze szyfrujące, wskazuje Europejska Rada Ochrony Danych (EROD) w Zaleceniach 01/2020 z 2021 r.[5] Co istotne, decyzją Komisji (UE) 2021/914 z 4.06.2021 r.[6] uchwalono nowe, bardziej nowoczesne i rozbudowane SCC, przystosowane do zróżnicowanych sytuacji kontraktowych podmiotów uczestniczących w transferze danych (np. relacje procesor-procesor i procesor-administrator), czego brakowało w „starych” klauzulach. Nowe SCC powinny być stosowane przez podmioty od 27.06.2021 r. Umowy zawarte przed tym terminem przy zastosowaniu „starych” SCC zachowują walor zapewnienia odpowiednich gwarancji bezpieczeństwa danych do 27.12.2022 r. Oznacza to, że po tym terminie należy dostosować obowiązujące umowy z kontrahentami do nowych klauzul.

Transatlantyckie Ramy Ochrony Danych (EU-U.S. Data Privacy Framework)

W związku ze skomplikowaną sytuacją prawną na gruncie ochrony danych osobowych na linii UE-USA, USA podejmowały próby dostosowania swojego prawa do europejskich standardów. Znaczącym punktem w staraniach USA pozostaje podpisanie przez Joe Bidena 7.10.2022 r. rozporządzenia wykonawczego 14086[7]. Dokument ma na celu realizację założeń porozumienia UE-USA z marca tego roku zakładającego rozwój nowych ram transatlantyckiego przesyłu danych zgodnych z tezami wyroku Schrems II[8]. Rozporządzenie wskazuje na ograniczenie działań amerykańskich służb wywiadowczych wyłącznie do celów bezpieczeństwa narodowego, proporcjonalnie do tych celów i tylko w sytuacjach, gdy jest to konieczne oraz stworzenie nowego mechanizmu dla zgłaszania skarg osób, których dane osobowe zostały naruszone na terytorium USA w ramach dwu-instancyjnej procedury[9].

13 grudnia b.r. Komisja (UE) rozpoczęła procedurę zmierzającą do uchwalenia nowej decyzji o adekwatności w zakresie transatlantyckiego przepływu danych. Projekt decyzji został opublikowany[10] i przekazany do zaopiniowana EROD. Następnie Komisja zwróci się o zatwierdzenie projektu do komitetu składającego się z przedstawicieli państw członkowskich UE. Po zakończeniu procedury Komisja może przystąpić do przyjęcia ostatecznego tekstu decyzji w sprawie adekwatności. W toku postępowania Parlament Europejski ma także prawo kontroli nad decyzjami.

Jak zapowiada Komisja w swoim komunikacie: „Funkcjonowanie ram ochrony prywatności danych UE – USA będzie podlegało okresowym przeglądom, które będą przeprowadzane przez Komisję Europejską wraz z europejskimi organami ochrony danych oraz właściwymi organami USA. Pierwszy przegląd odbędzie się w ciągu roku od wejścia w życie decyzji o adekwatności, aby sprawdzić, czy wszystkie istotne elementy amerykańskich ram prawnych zostały w pełni wdrożone i czy skutecznie funkcjonują w praktyce”.[11]

Treść rozporządzenia wykonawczego spotkała się jednakże z szeroką krytyką przedstawicieli organów stojących na straży ochrony danych, w tym organizacji M. Schremsa NOYB. Organizacja podkreśliła, że rozporządzenie nie spełnia standardów ochrony danych zagwarantowanych przez RODO poprzez m.in. różnice w rozumieniu pojęcia „proporcjonalności”, które nadal w ujęciu amerykańskim pozwala organom wywiadowczym na szeroki dostęp do danych osobowych obywateli UE, jak również charakter prawny organu mającego rozstrzygać spory z udziałem obywateli UE, który nie występuje jako niezależny organ władzy sądowniczej, a podlega nadzorowi władzy wykonawczej USA[12].

Projekt nowej decyzji Komisji (UE) jest oparty o rozporządzenie wykonawcze, a zatem należy się spodziewać w najbliższych miesiącach ożywionej dyskusji w środowisku specjalistów ochrony danych w odniesieniu do zaproponowanych rozwiązań.

Jeżeli potrzebujesz doradztwa w zakresie transferu danych do USA, dostosowania dotychczasowych umów do nowych standardowych klauzul umownych przed 27.12.2022 r. lub masz inny problem prawny dotyczący ochrony osobowych, zapraszamy do kontaktu.

KONTAKT

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz.U.UE. L Nr 119, str. 1; dalej RODO

[2] Decyzja wykonawcza Komisji (UE) 2016/1250 z 12.07.2016 r. przyjęta na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady, w sprawie adekwatności ochrony zapewnianej przez Tarczę Prywatności UE-USA (notyfikowana jako dokument nr C(2016) 4176), Dz.U.UE L Nr 207, s. 1–112

[3] dr B. Marcinkowski, Standardowe klauzule umowne a globalne transfery danych. Czy środki kontraktowe ochronią prywatność w dobie międzynarodowego kryzysu zaufania? [w:] dodatek MoP 23/2021, str. 1521, Legalis online

[4] C-311/18, EU:C:2020:559

[5] Zalecenia 01/2020 dotyczące środków uzupełniających narzędzia przekazywania w celu zapewnienia zgodności z unijnym stopniem ochrony danych osobowych, dokument przyjęty przez EROD 10.11.2020 r., wersja 2.0 z 18.06.2021 r., Załącznik nr 2, str. 32-33

[6] Decyzja Wykonawcza Komisji (UE) 2021/914 z 4.06.2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (tekst mający znaczenie dla EOG), Dz.U.UE L Nr 199 z 7.6.2021 r., s. 31;

[7] Tekst rozporządzenia wykonawczego: https://www.whitehouse.gov/briefing-room/presidential-actions/2022/10/07/executive-order-on-enhancing-safeguards-for-united-states-signals-intelligence-activities/, wejście: 14.12.2022 r.

[8] https://ec.europa.eu/commission/presscorner/detail/en/ip_22_2087, wejście 14.12.2022 r.

[9] https://iapp.org/news/a/the-eu-u-s-data-privacy-framework-a-new-era-for-data-transfers/, wejście: 14.12.2022 r.

[10] Projekt decyzji: https://commission.europa.eu/document/e5a39b3c-6e7c-4c89-9dc7-016d719e3d12_en; wejście: 14.12.2022 r.

[11] https://ec.europa.eu/commission/presscorner/detail/en/ip_22_7631, wejście 14.12.2022 r., tłum. własne Autorki

[12] https://noyb.eu/en/statement-eu-comission-adequacy-decision-us, wejście: 14.12.2022 r.

Ostatni miesiąc na remont wynajmowanego mieszkania Poprzedni
Następny 17,3 % podatku dochodowego – to możliwe ze spółką komandytową lub komandytowo-akcyjną!